خانه » توزیع بدافزارهای Skuld infostealer و Blank Grabber توسط پکیج‌های مخرب NPM!

توزیع بدافزارهای Skuld infostealer و Blank Grabber توسط پکیج‌های مخرب NPM!

توسط Vulnerbyte
0 بازدید
گروه vulnerbyte - گروه والنربایت -vulnerbyte group - پکیج‌های مخرب NPM - اربران Roblox - بدافزار رباینده - Skuld infostealer - Blank Grabber

تیم تحقیقاتی تهدید Socket هشتم نوامبر ۲۰۲۴، پکیج‌های npm مخربی را شناسایی کرده است که به طور خاص کاربران Roblox را هدف قرار می‌دهند. این پکیج‌ها برای جعل هویت ماژول‌های قانونی که به طور گسترده در جامعه توسعه‌ دهندگان Roblox استفاده می‌شوند، طراحی شده‌اند.

Roblox، یک پلتفرم آنلاین و سیستم ساخت بازی است که دارای ۷۹.۵ میلیون کاربر فعال روزانه می‌باشد و دارای ۲.۵ میلیون توسعه دهنده است. محبوبیت این پلتفرم، آن را به یک هدف پرسود برای هکرهایی تبدیل کرده است که به دنبال سرقت اطلاعات حساس یا دسترسی غیرمجاز به حساب‌های کاربری هستند.

مهاجم، پکیج‌های تایپسکوات شده را با هدف فریب توسعه‌ دهندگان به منظور نصب بدافزار Skuld infostealer و Blank Grabber منتشر کرده است. Typosquatting نوعی حمله مهندسی اجتماعی است که به اشتباهاتی مانند اشتباهات تایپی توسط کاربران اینترنت هنگام وارد کردن آدرس وب سایت در مرورگر وب متکی است.

این پکیج‌ها تا پیش از آنکه حذف شوند دارای بیش از 320 دانلود بودند و خطرات قابل توجهی از جمله سرقت داده‌های لاگین (نام کاربری و پسورد)، اطلاعات مالی و داده‌های شخصی را به همراه داشتند.

لیست پکیج‌های مخرب به شرح زیر است:

شایان ذکر است که “node-dlls” اقدامی از سوی هکرها به عنوان یک تایپسکوات برای پکیج قانونی node-dll است.  node-dll قانونی دارای ۳۵,۸۰۰ دانلود می‌باشد و توسعه دهندگان Roblox از آن استفاده می‌کنند تا مستقیماً از محیط Node.js با کتابخانه‌های پیوند پویای ویندوز (DLL) تعامل داشته باشند و ادغام‌ها و ویژگی‌های پیشرفته را فعال نمایند.

پکیج‌های مخرب و آلوده شامل کد مبهم هستند که Skuld infostealer و Blank Grabber، خانواده‌های بدافزار رباینده اطلاعات را که به ترتیب در Golang و Python نوشته شده‌اند، دانلود و اجرا می‌کنند و می‌توانند طیف وسیعی از اطلاعات را از سیستم‌های آلوده جمع‌آوری کنند.

Skuld infostealer که در Go نوشته شده است، برای استخراج داده‌های حساس از سیستم‌های ویندوز، نفوذ به برنامه‌هایی مانند Discord، کرومیوم و مرورگرهای مبتنی بر فایرفاکس و کیف پول‌های ارزهای دیجیتال طراحی شده است.

Skuld از تکنیک‌هایی برای دور زدن دیباگ، غیرفعال سازی محافظت‌های آنتی‌ویروس و افزایش سطح دسترسی استفاده می‌کند و داده‌های لاگین، کوکی‌ها و اطلاعات مالی را می‌رباید.

Blank Grabber، یک بدافزار مبتنی بر پایتون است که اطلاعات حساس را از سیستم‌های ویندوز آلوده سرقت می‌کند. Blank Grabber با داشتن یک اینترفیس کاربری گرافیکی کاربر پسند، به هکرها اجازه می‌دهد تا رفتار بدافزار را سفارشی سازی (مانند غیرفعال سازی ویندوز دیفندر یا دور زدن کنترل حساب کاربری (UAC)) کنند.

این بدافزار قادر به استخراج داده‌هایی مانند توکن‌های Discord، رمزهای عبور مرورگر، کوکی‌ها، جزئیات کیف پول ارز دیجیتال و همچنین گرفتن اسکرین شات و تصاویر وب‌کم است. داده های جمع‌آوری شده سپس از طریق وب هوک Discord یا تلگرام به مهاجم ارسال می‌شوند. استفاده از Discord و تلگرام برای ارتباطات C2 می‌تواند تلاشی به منظور پیچیده‌تر کردن فرآیند شناسایی باشد.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - پکیج‌های مخرب NPM - اربران Roblox - بدافزار رباینده - Skuld infostealer - Blank Grabber
Skuld infostealer در سمت چپ و بدافزار Blank Grabber در سمت راست نمایش داده شده است.

باینری‌های بدافزار به منظور دور زدن حفاظت‌های امنیتی دستگاه قربانی، از یک مخزن GitHub (“github[.]com/zvydev/code/”) که توسط مهاجم کنترل می‌شود، بازیابی می‌شوند.

تیم تحقیقاتی Socket، ششم نوامبر نیز یک پکیج مخرب پایتون به نام ” fabrice ” را کشف کردند که یک نوعِ تایپسکوات شده از کتابخانه محبوب اتوماسیون fabric SSH است. Fabric یک کتابخانه سطح بالای پایتون است که برای اجرای دستورات shell از راه دور بر روی SSH طراحی شده است.

پکیج تایپسکوات شده fabric (یعنی fabrice ) دارای پیلودهایی است که داده‌های لاگین را ربوده و بکدورهایی را مستقر و اسکریپت‌های خاص هر پلتفرم را اجرا می‌کند. پکیج Fabrice طوری طراحی شده است که اقدامات مخرب خود را بر اساس سیستم عاملی که روی آن نصب شده است انجام می‌دهد.

این اولین بار نیست که کاربران و توسعه دهندگان Roblox مورد هدف قرار می‌گیرند. محققان Socket در اوایل سال جاری نیز، گزارشی را منتشر کردند که شامل یک پکیج مخرب تایپسکوات شده از پکیج‌های noblox.js و noblox.js-server بود.

ماهیت تکرار شونده این حملات نشان‌ دهنده یک چشم‌انداز تهدید مداوم است که هکرها به طور خستگی ناپذیر به دنبال سوء استفاده از پکیج‌های npm و نفوذ به توسعه دهندگان می‌باشند!

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید